Si eres un cliente nuevo, Google Cloud aprovisiona de forma automática un recurso de organización para el dominio en las siguientes situaciones:
- Un usuario de tu dominio accede por primera vez.
- Un usuario crea una cuenta de facturación que no tiene un recurso de organización asociado.
La configuración predeterminada de este recurso de la organización, caracterizada por el acceso sin restricciones, puede hacer que la infraestructura sea susceptible a violaciones de la seguridad. Por ejemplo, la creación de claves de cuentas de servicio predeterminadas es una vulnerabilidad crítica que expone los sistemas a posibles violaciones.
Con las aplicaciones de políticas de la organización con seguridad de forma predeterminada, las posturas no seguras se abordan con un conjunto de políticas de la organización que se aplican en el momento de la creación de un recurso de la organización. Algunos ejemplos de estas aplicaciones incluyen inhabilitar la creación de claves de cuentas de servicio y la carga de claves de cuentas de servicio.
Cuando un usuario existente crea una organización, la postura de seguridad del nuevo recurso de la organización puede ser diferente de la de los recursos existentes. Las políticas de la organización con seguridad predeterminada se aplican a todas las organizaciones creadas a partir del 3 de mayo de 2024. Es posible que algunas organizaciones creadas entre febrero y abril de 2024 también tengan configuradas estas aplicaciones de políticas predeterminadas. Para ver las políticas de la organización que se aplican a tu organización, consulta Visualiza las políticas de la organización.
Como administrador, estas son las situaciones en las que estos cumplimientos de las políticas de la organización se aplican de forma automática:
- Cuenta de Google Workspace o Cloud Identity: Cuando tienes una cuenta de Google Workspace o Cloud Identity, se crea un recurso de organización asociado a tu dominio. Las políticas de la organización con seguridad predeterminada se aplican al recurso.
- Creación de la cuenta de facturación: Si la cuenta de facturación que creas no está asociada con un recurso de la organización, entonces un recurso de la organización se crea de forma automática. Las políticas de la organización con seguridad de forma predeterminada se aplican en el recurso de la organización. Esta situación funciona en la consola de Google Cloud y en gcloud CLI.
Permisos necesarios
La función de administración de identidades y accesos roles/orgpolicy.policyAdmin permite a un administrador gestionar las políticas de la organización. Debes ser un administrador de políticas de la organización para cambiarlas o anularlas.
Para otorgar el rol, ejecuta el siguiente comando:
gcloud organizations add-iam-policy-binding ORGANIZATION --member=PRINCIPAL --role=ROLE
Reemplaza lo siguiente:
ORGANIZATION: Es el identificador único de tu organización.PRINCIPAL: La principal a la que se agregará la vinculación. Debe tener el formatouser|group|serviceAccount:emailodomain:domain. Por ejemplo,user:222larabrown@gmail.com.ROLE: Es el rol que se otorgará a la principal. Usar la ruta completa de un rol predefinido En este caso, debería serroles/orgpolicy.policyAdmin.
Políticas de la organización aplicadas a los recursos de la organización
En la siguiente tabla, se enumeran las restricciones de las políticas de la organización que se aplican de forma automática cuando creas un recurso de la organización.
| Nombre de la política de la organización | Restricción de las políticas de la organización | Descripción | Impacto de la aplicación |
|---|---|---|---|
| Inhabilita la creación de claves de cuentas de servicio | iam.disableServiceAccountKeyCreation |
Impedir que los usuarios creen claves persistentes para las cuentas de servicio Para obtener información sobre cómo administrar claves de cuentas de servicio, consulta Proporciona alternativas a la creación de claves de cuentas de servicio. | Reduce el riesgo de que se expongan las credenciales de la cuenta de servicio. |
| Inhabilita la carga de claves de cuentas de servicio | iam.disableServiceAccountKeyUpload |
Evita la carga de claves públicas externas a cuentas de servicio. Para obtener información sobre cómo acceder a los recursos sin claves de cuenta de servicio, consulta estas prácticas recomendadas. | Reduce el riesgo de que se expongan las credenciales de la cuenta de servicio. |
| Inhabilita las asignaciones de roles automáticas a las cuentas de servicio predeterminadas | iam.automaticIamGrantsForDefaultServiceAccounts |
Impide que las cuentas de servicio predeterminadas reciban el rol de IAM demasiado permisivo Editor en el momento de su creación. |
El rol Editor permite que la cuenta de servicio cree y borre recursos para la mayoría de los servicios de Google Cloud, lo que crea una vulnerabilidad si la cuenta de servicio se ve comprometida. |
| Restringe identidades por dominio | iam.allowedPolicyMemberDomains |
Limita el uso compartido de recursos a las identidades que pertenecen a un recurso de la organización en particular. | Dejar el recurso de la organización abierto al acceso por parte de actores con dominios distintos al propio del cliente crea una vulnerabilidad. |
| Cómo restringir contactos por dominio | essentialcontacts.allowedContactDomains |
Limita los contactos esenciales para permitir que solo las identidades de usuario administradas de los dominios seleccionados reciban notificaciones de la plataforma. | Es posible que una persona que actúa de mala fe con un dominio diferente se agregue como contactos esenciales, lo que podría comprometer la postura de seguridad. |
| Acceso uniforme a nivel de bucket | storage.uniformBucketLevelAccess |
Impedir que los buckets de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de IAM) para proporcionar acceso | Aplica la coherencia en la administración de accesos y en la auditoría. |
| Usa el DNS zonal de forma predeterminada | compute.setNewProjectDefaultToZonalDNSOnly |
Establece restricciones cuando los desarrolladores de aplicaciones no puedan elegir la configuración de DNS global para las instancias de Compute Engine. | La configuración de DNS global tiene una confiabilidad del servicio menor que la configuración de DNS zonal. |
Administra la aplicación de las políticas de la organización
Puedes administrar la aplicación de las políticas de la organización de las siguientes maneras:
Mostrar lista de políticas de la organización
Para verificar si las políticas de la organización con seguridad de forma predeterminada se aplican en tu organización, usa el siguiente comando:
gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
Reemplaza ORGANIZATION_ID por el identificador único de tu organización.
Inhabilitar políticas de la organización
Para inhabilitar o borrar una política de la organización, ejecuta el siguiente comando:
gcloud org-policies delete CONSTRAINT_NAME --organization=ORGANIZATION_ID
Reemplaza lo siguiente:
CONSTRAINT_NAMEes el nombre de la restricción de la política de la organización que deseas borrar. Un ejemplo esiam.allowedPolicyMemberDomains.ORGANIZATION_IDes el identificador único de tu organización.
Agrega o actualiza valores para una política de la organización
Para agregar o actualizar los valores de una política de la organización, debes almacenar los valores en un archivo YAML. Este es un ejemplo de cómo podría verse el contenido de este archivo:
{
"name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
"spec": {
"rules": [
{
"values": {
"allowedValues": ["VALUE_A"]
}
}
]
}
}
Para agregar o actualizar estos valores enumerados en el archivo YAML, ejecuta el siguiente comando:
gcloud org-policies set-policy POLICY_FILE
Reemplaza POLICY_FILE por la ruta al archivo YAML que contiene los valores de la política de la organización.